Sdílet prostřednictvím


Přehled – správa stavu zabezpečení AI

Plán Správa stavu zabezpečení cloudu v programu Defender (CSPM) v Programu Microsoft Defender for Cloud zajišťuje generování podnikových, více nebo hybridních cloudů (v současné době Azure a AWS) generující aplikace AI po celý jejich životní cyklus. Defender for Cloud snižuje rizika pro úlohy umělé inteligence napříč cloudy:

  • Objevte generující fakturu AI (kusovník AI), která zahrnuje komponenty aplikací, data a artefakty AI z kódu do cloudu.
  • Posílení stavu zabezpečení aplikací umělé inteligence s integrovanými doporučeními a prozkoumáním a nápravou rizik zabezpečení
  • Analýza cesty útoku k identifikaci a nápravě rizik

Diagram životního cyklu vývoje, na který se vztahuje správa stavu zabezpečení AI v programu Defender for Cloud

Důležité

Povolení možností správy stavu zabezpečení AI u účtu AWS, který už:

  • Je připojený k vašemu účtu Azure.
  • Má povolenou funkci CSPM v programu Defender.
  • Má typ oprávnění nastavený jako přístup s nejnižšími oprávněními.

Oprávnění pro tento konektor je potřeba překonfigurovat tak, aby povolte příslušná oprávnění pomocí následujícího postupu:

  1. Na webu Azure Portal přejděte na stránku Nastavení prostředí a vyberte příslušný konektor AWS.
  2. Vyberte Konfigurovat přístup.
  3. Ujistěte se, že je typ oprávnění nastavený na Přístup s nejnižšími oprávněními.
  4. Dokončete konfiguraci podle kroků 5 až 8 .

Zjišťování aplikací generující AI

Defender for Cloud zjišťuje úlohy AI a identifikuje podrobnosti o kusovníku AI vaší organizace. Tato viditelnost umožňuje identifikovat a řešit ohrožení zabezpečení a chránit generující aplikace AI před potenciálními hrozbami.

Defender for Cloud automaticky a nepřetržitě zjišťuje nasazené úlohy AI napříč následujícími službami:

  • Azure OpenAI Service
  • Azure Machine Learning
  • Amazon Bedrock

Defender for Cloud může také zjišťovat ohrožení zabezpečení v rámci závislostí generující knihovny AI, jako jsou TensorFlow, PyTorch a Langchain, a to kontrolou zdrojového kódu pro chybnou konfiguraci infrastruktury jako kódu (IaC) a imagí kontejnerů kvůli ohrožením zabezpečení. Pravidelné aktualizace nebo opravy knihoven můžou bránit zneužití, chránit aplikace generující AI a udržovat jejich integritu.

Díky těmto funkcím poskytuje Defender for Cloud úplný přehled úloh AI z kódu do cloudu.

Omezení rizik pro generování aplikací umělé inteligence

CsPM v programu Defender poskytuje kontextové přehledy o stavu zabezpečení AI vaší organizace. Rizika v rámci úloh umělé inteligence můžete snížit pomocí doporučení zabezpečení a analýzy cest útoku.

Prozkoumání rizik s využitím doporučení

Defender for Cloud vyhodnocuje úlohy AI. Vydává doporučení týkající se identity, zabezpečení dat a vystavení internetu za účelem identifikace a stanovení priorit kritických problémů se zabezpečením.

Detekce chybných konfigurací IaC

Zabezpečení DevOps detekuje chybné konfigurace IaC, které můžou vystavit generující aplikace umělé inteligence ohrožením zabezpečení, jako jsou over-exposed řízení přístupu nebo neúmyslně vystavené veřejně vystavené služby. Tyto chybné konfigurace můžou vést k narušení zabezpečení dat, neoprávněnému přístupu a problémům s dodržováním předpisů, zejména při zpracování striktních předpisů na ochranu osobních údajů.

Defender for Cloud vyhodnocuje konfiguraci generativních aplikací AI a poskytuje doporučení zabezpečení ke zlepšení stavu zabezpečení AI.

Pokud chcete později zabránit složitým problémům, opravte zjištěné chybné konfigurace v rané fázi vývojového cyklu.

Mezi aktuální kontroly zabezpečení umělé inteligence IaC patří:

  • Použití privátních koncových bodů služby Azure AI
  • Omezení koncových bodů služby Azure AI
  • Použití spravované identity pro účty služby Azure AI
  • Použití ověřování na základě identit pro účty služby Azure AI

Prozkoumání rizik s využitím analýzy cest útoku

Analýza cesty útoku detekuje a snižuje rizika pro úlohy umělé inteligence. Vytvoření modelů AI na konkrétní data a vyladění předem natrénovaného modelu v konkrétní datové sadě za účelem zlepšení výkonu související úlohy jsou fázemi, ve kterých mohou být data vystavena.

Díky nepřetržitému monitorování úloh umělé inteligence může analýza cesty útoku identifikovat slabá místa a potenciální ohrožení zabezpečení a postupovat podle doporučení. Kromě toho se rozšiřuje i na případy, kdy se data a výpočetní prostředky distribuují napříč Azure, AWS a GCP.